Drei Apps with love Mitglieder mit den ISO Zertifikaten in der Hand

Von der Checkliste zum roten Faden - 5 Jahre ISO bei Apps with love

21. Mai 2026 - von Martin Mattli

Im Jahr 2022 haben wir unsere Erstzertifizierung für die ISO 9001 (Qualitätsmanagementsystem) und ISO 14001 (Umweltmanagementsystem) erlangt. Damals war noch vieles unklar. Wir hatten gerade sechs Monate externe Beratung hinter uns und versuchten, unsere bestehenden Strukturen von Organigramm über Rollen und Verantwortlichkeiten bis hin zu Prozessen und deren Dokumentation mit der ISO Sprache und dem Regelwerk abzugleichen. Auch unser Leitbild, unsere Strategiekonzepte und die Unternehmensziele mussten in die Welt der ISO-Normen übersetzt werden.

Aber das ist nur die eine Seite der Geschichte. Die grössere Frage lautete: Warum brauchen wir das überhaupt?

Wieso ISO-Zertifizierungen für uns wichtig sind

Einerseits forderten und fordern Kund*innen zunehmend ISO-Zertifizierungen: das ist die externe Realität. Aber interessanterweise kam die Forderung auch von innen. In einer Mitarbeitendenbefragung vor einigen Jahre zeigte sich etwas, das unser langjähriges Narrativ in Frage stellte. Jahrelang hatten wir nach dem Credo: «Wir brauchen wenige Prozesse, alle kennen sie ohnehin» gelebt.

Hättet ihr mich damals gefragt, wie unsere Strukturen ausgestaltet werden, hätte ich wohl keine richtig klare Antwort geben können. Wie analysierten und bewerteten wir Risiken? Jedes Team hätte wohl eine andere Antwort gegeben. Ob wir unsere strategischen Ziele erreichen würden? Wir hätten es kaum frühzeitig abschätzen können. Welche Regeln galten und wo waren Vorlagen und Checklisten zu finden? Es wäre schwierig gewesen, klar zu sagen, was gerade gültig ist, obwohl vieles vorhanden und dokumentiert war.

Genau hier zeigte sich in der Mitarbeitendenbefragung: Viele wünschten sich ein Stück weit das Gegenteil unserer bisherigen Praxis. Sie wollten mehr Klarheit, Struktur und dokumentierte Prozesse. Sie wollten wissen, wie die Dinge funktionieren. Wo finde ich Antworten? Welche Regeln gelten? Wo und wie werden welche Entscheidungen getroffen?

Damit bekamen die ISO-Zertifizierungen eine weitere Bedeutung. Sie waren nicht nur eine externe Compliance-Anforderung unserer Kund*innen, sondern die Chance, viele interne Fragen zu beantworten, die unsere Mitarbeitenden längst gestellt hatten.

Heute, nach fünf Jahren und dem bestandenen Erneuerungsaudit im Jahr 2026, können wir etwas mit Gewissheit sagen: Ein roter Faden durch das ganze Unternehmen macht nicht nur die externen Audits einfacher, er macht hauptsächlich unsere tägliche Arbeit klarer und transparenter. Dieser Blogpost ist nicht nur ein Bericht darüber, was wir alles für das externe Audit erledigt haben. Ich möchte aufzeigen, wie externe Anforderungen uns geholfen haben, Strukturen und Prozesse zu etablieren, an denen wir uns als Unternehmen orientieren können. Die ISO Zertifizierung hat uns geholfen, zielgerichtet ein Framework und Regelwerk zu etablieren, mit dem wir uns stabil, effizient, nachhaltig und sicher steuern können – immer mit unserem Unternehmensziel vor Augen: langfristig sichere und attraktive Arbeitsplätze zu schaffen.

Zertifizierungssiegel für ISO 27001 in schwarz, ISO 14001 in grün und ISO 9001 in beige von Attesta
Die drei ISO Zertifizierungen von Apps with love

Unser ISO-Weg von 2022 bis heute

2022: Die Strukturphase

Für viele Firmen sieht der typische ISO Audit Zyklus so aus, dass das ganze Jahr über wenig geschieht. Dann, zwei bis drei Wochen vor dem externen Audit, bricht Panik bei den Mitarbeitenden aus. Alle Dokumentationen müssen aktualisiert und Prozesse hastig dokumentiert werden. Unser Ziel war von Anfang an, nicht in dieses Fahrwasser zu geraten. Wir wollten die ISO Vorgaben so in unseren Arbeitsalltag integrieren, dass wir durch Strukturen Routinen etablieren konnten. Die für den jährlichen Audit nötige Arbeit wird kontinuierlich über das ganze Jahr gemacht.

Die Erstzertifizierung war für uns vor allem eine Formfrage. Insbesondere ist die ISO Sprache eine ganz andere als die Sprache und die Begrifflichkeiten, die wir in unserem Alltag nutzen. Wir mussten also unsere Apps with love Sprache sozusagen in die ISO Sprache übersetzen, was gar nicht so einfach war. Hier einige Beispiele wie wir diese Brücke geschlagen haben:

  • Unter Qualitätspolitik verstehen wir unsere Strategie und unser Leitbild: Unsere Vision, Leitbild und Strategie sind keine Papiere für das Audit, sondern unser täglicher Kompass dafür, wohin die gemeinsame Reise mit unseren Mitarbeitenden geht.

  • Die Geschäftsleitung entspricht bei uns dem Management Board: Wir leben flache Hierarchien innerhalb klarer Rollen und Aufgaben. Das Management Board übernimmt die Aufgaben einer klassischen Geschäftsleitung

  • Die Lenkung von Informationen heisst bei uns Nachvollziehbarkeit: Alle Projektnachweise wie Offerten, Verträge und Abnahmeprotokolle müssen leserlich, auffindbar und dokumentiert abgelegt sein.

  • Die Qualitätsziele heissen bei uns strategische Ziele: Wir führen diese transparent in unserem Führungscockpit.

  • Ergebnisse von Überwachungen und Messungen sind bei uns die operativen KPIs: Kosten und Stundenansätze, Preisstrukturen, Ausgaben, Kapazitätsauslastung – also alles, was wir kontinuierlich messen und steuern.

  • Die Konformität von Produkten und Dienstleistungen ist bei uns der Erfüllungsgrad der Anforderderungen unserer Kund*innen. 

Ein Qualitätsmanagementsystem wird nach seinem Reifegrad bewertet. Das gute daran ist, dass nicht jeder Punkt der ISO vollumfänglich erfüllt sein muss. Das bedeutet: Wir müssen nicht alles auf einmal perfekt machen, sondern können schrittweise reifen und dabei kontinuierlich daran arbeiten.

2023/24: ISO 27001 – Regeln und echte Konsequenzen

Mit der ISO 27001 veränderte sich fundamental, was eine Zertifizierung für uns bedeutete. Sie zwang uns, eine unbequeme Frage zu stellen: Wie definieren wir Regeln mit echten Konsequenzen? Das war eine enorme Herausforderung – gerade in einer Kultur, die auf Harmonie und gegenseitigem Respekt basiert. Plötzlich mussten wir verschriftlichten: Was sind die Konsequenzen, wenn jemand IT-Sicherheitsmassnahmen nicht einhält? Von der Ermahnung bis zur Auflösung eines Arbeitsvertrages.

Freiheit vs. Sicherheit

In einer Firma, die auf Harmonie und flache Hierarchien setzt, wirkte die Idee von expliziten Regeln mit Konsequenzen zunächst wie ein Eingriff in die persönliche Freiheit bei der Arbeitsgestaltung. Viele Mitarbeitende fragten: Brauchen wir das wirklich? Wird es nicht zu restriktiv?

Hier brauchte es viel Überzeugungsarbeit, aber wir lernten: Klarheit schafft auch wieder Freiheiten. Wer weiss, wo die Grenzen sind, agiert unter anderem auch selbstbewusster. Explizite Regeln sind nicht als Bevormundung zu sehen, sondern in diesem Fall auch ein gegenseitiger Schutz.

Bis dahin basierte IT-Sicherheit auf gesundem Menschenverstand und viel Erfahrung. Mit der ISO 27001 und den SoA Kontrollpunkten mussten wir aufschreiben, wie wir arbeiten. Das führte zu neuen Prozessen, Strukturen, Rollen und Richtlinien:

  • Richtlinien und Strategien: Wir haben Datenschutzrichtlinien, Backup-Strategien und IT-Sicherheitsrichtlinien definiert und implementiert.

  • Umgang mit Daten und Personendaten: Klare Vorgaben zur Datenaufbewahrung und Datenlöschung sowie stetige Erweiterungen technischer und organisatorischer Massnahmen. 

  • Spezifische Risikoanalyse: Wir führen eine systematische Bewertung der BSI (Bundesamt für Sicherheit in der Informationstechnik) Risiken durch und integrieren diese direkt in unser Risikoportfolio.

  • Kontrolle und Lernen: Wir überprüfen regelmässig die SoA Kontrollpunkte und führen bei Vorfällen Root Cause Analysen durch.

CERT Team und Krisenstab: Durch ein dediziertes Notfallteam und ein überarbeitetes Notfallkonzept sind wir heute im Ernstfall handlungsfähig(er).

Drei Mitglieder von Apps with love halten ein ISO Zertifikat in der Hand und zeigen es in die Kamera
Stolze Gesichter nach bestandenem Audit im Jahr 2025: Olivier Oswald, Stephan Klaus und Martin Matli mit den ISO Zertifikaten 27001, 9001 und 14001.

Ein Nervensystem für das Unternehmen

Als wir vor fünf Jahren mit ISO angefangen haben, stand der Erhalt der Zertifikate im Zentrum. Aber schnell merkten wir, dass das System Dinge ermöglichte, die wir nicht erwartet hatten:

  • Erhöhte Sichtbarkeit über laufende Verbesserungen: Im Kanban Board für den kontinuierlichen Verbesserungsprozess (KVP) sammeln und koordinieren wir die verschiedensten Verbesserungsmassnahmen, von Prozessverbesserungen, über Rollendefinitionen, bis hin zu Teamzielen. Das gibt uns einen Überblick, wer woran arbeitet und bietet Transparenz, um zu sehen, was im Unternehmen, abgesehen vom alltäglichen Projektgeschäft, gerade passiert. Wenn wir eine Entscheidung treffen, wie die Investition in eine KI-Taskforce, wissen alle, warum: weil die Risikoanalyse aufzeigt, dass diese eine grosse Chance für uns als Unternehmen ist.

  • Verbesserungen im daily Business: Die standardisierte Kund*innenbefragung zeigt uns Jahr für Jahr, was wir gut machen und wo Verbesserungspotenzial besteht. Interne Audits sind vergleichbar und keine Momentaufnahmen. Wir sehen genau, wo wir besser werden und wo wir aufpassen müssen.

  • Mehr Klarheit statt Annahmen: Wir wissen zum Beispiel, wo Datenschutzrichtlinien dokumentiert sind, wo KI-Guidelines stehen und wo IT-Sicherheitsregeln zu finden sind. Neue Mitarbeitende kennen die Regeln sofort und Teams haben einen Kompass.

Erhöhter Schutz statt Überraschung: Compliance ist Teil unseres Alltags. Das Risikoportfolio warnt uns früh, wenn etwas kritisch wird. Die Lieferantenbewertung ist objektiv und datenschutzrechtliche Anforderungen sind direkt in unsere Prozesse eingebaut.

Kuchendiagramm aus der Apps with love Risikoanalyse. Die identifizierten Risiken werden nach ihrer Art aufgeteilt: finanzielles, operationelles, strategisches und externes Risiko
Wir bewerten jedes Jahr mehrere Dutzend Risiken, unterteilt in verschiedene Kategorien. Einige sind fix durch ISO vorgegeben, andere verschwinden über die Jahre wieder oder kommen neu hinzu.

Die Herausforderungen auf dem Weg

Das klingt vermutlich alles ziemlich gut und vermutlich einfacher als es tatsächlich war. Auf dem Weg zur Erstzertifizierung dachten wir, wir müssten alles neu erfinden. Tatsächlich mussten wir aber in erster Linie das, was wir bereits taten, strukturieren und dokumentieren.

Diese kontinuierliche Arbeit ist nicht kostenlos. Der KVP, die monatlichen Reviews, Rollengespräche, Prozessdokumentationen und Schulungen brauchen Ressourcen. Aber es braucht weniger Ressourcen als der alte Zustand, weil die Regeln klarer sind als noch vor einigen Jahren. Der externe Audit Termin hilft dabei als notwendige Deadline, um Dinge zu priorisieren, die wir ohnehin umsetzen wollen. Ohne diesen externen Druck hätten wir gewisse Verbesserungen wohl immer wieder aufgeschoben.

Säulendiagramm mit Kategorisierung von Aufgaben im KVP Board: offene, bereite, in Bearbeitung und erfüllte Aufgaben
Einblick in die KVP-Statistik: Wir tracken Initiativen zu Verbesserungen und Optimierungen kontinuierlich. Alle im Team können jederzeit einsehen, wie weit welche Massnahme schon ist.

Der rote Faden: Die strategische Jahresplanung

Das Herzstück der kontinuierlichen Verbesserung ist heute unsere strategische Jahresplanung. Sie deckt unsere unternehmerischen, regulatorischen und organisatorischen Pflichten ab und beinhaltet im Groben folgendes:

Strategische Ausrichtung

Jährlich analysieren wir unser Umfeld und leiten daraus – gestützt auf Analysen wie SWOT und PESTLE – unseren strategischen Fokus ab. Darauf aufbauend setzen wir strategische und operative Ziele, aus denen wiederum die Teamziele entstehen.

Governance

Eine kontinuierliche Risikoanalyse stellt sicher, dass wir Bedrohungen und Chancen frühzeitig erkennen. Kund*innenbefragungen, Lieferantenbewertungen und Mitarbeitendengespräche liefern regelmässig Erkenntnisse, die direkt in die Planung einfliessen. Fixer Bestandteil ist ausserdem der Blick auf Jahresabschluss, Revision sowie das Monitoring regulatorischer Veränderungen.

Organisationsentwicklung

Die Jahresplanung beinhaltet die Auswertung unserer KPIs, interner und externer Audits und des KVP. Ebenso ist die Überprüfung und Weiterentwicklung unserer ISO-Handbücher, Prozesslandschaften und internen Wikis fest eingeplant.

Ein lohnendes Investment - und eine bleibende Challenge

Wir investieren grob geschätzt um die 5% der verfügbaren Arbeitsstunden der Mitarbeitenden in diese kontinuierliche Verbesserung. Das ist ein Investment in ein System, das schliesslich aber Ressourcen spart, weil Rollen, Prozesse, Vorlagen und Regeln für alle klar(er) sind und wir uns dadurch stetig verbessern. 

Was herausfordernd bleibt, ist das Finden der richtigen Balance. Trotz Prozessdokumentationen und Audits ist es eine laufende Aufgabe und auch Herausforderung, einerseits Klarheit und Struktur zu schaffen und gleichzeitig die Freiheit und Kreativität zu fördern, die uns als Agentur ausmacht.

Fazit: Zertifizierte Prozesse als Teil des Apps with love Betriebssystems

Zertifizierungen sind für uns kein notwendiges Übel, sondern Teil des Betriebssystems von Apps with love. Das externe Audit ist die Bestätigung, dass unsere Prozesse stabil laufen. 

Und: Die Zertifizierungen überprüfen nicht nur die Einhaltung externer Anforderungen. Sie helfen auch, interne Fragen zu beantworten: Wie funktionieren wir wirklich und wer trägt welche Verantwortung? Wir haben gelernt, dass Zertifizierungen eine Bestätigung unserer Qualität und unseres Qualitätsanspruchs sind.

Willst du mehr wissen?

Gerne erzählen wir dir mehr über unseren Weg zu den ISO Zertifizierungen und was das für uns bedeutet.

Schreib uns eine E-Mail

Was dich sonst noch interessieren könnte

29. April 2026 - von Till Könneker

Berufe im Wandel: Warum wir trotz KI nicht auf Autopilot schalten

Bequemlichkeits-Falle oder Chance? Warum Empathie & Urteilskraft das neue «Human Premium» sind & wie wir Sinn jenseits von Routine finden.
Illustration die Dokumente und ein Vorhängeschloss zeigt
2. Februar 2024 - von Martin Mattli

Wir haben unsere Informationssicherheit nach ISO 27001 zertifiziert

Ein Meilenstein, mit welchem wir mehr Sicherheit in unserer Geschäftstätigkeit schaffen und die Basis für eine sichere Zukunft festigen
Illustration zum Continuous Delivery Prozess
31. Oktober 2022 - von Alain Stulz

Konsistente Continuous Delivery für iOS - So haben wir den Prozess vereinfacht

Continuous Delivery spart Zeit & Nerven. Alain erläutert, wie wir diesen Prozess über die Jahre eingeführt haben & welche Tools wir dafür verwenden.